Tội phạm mạng dùng Microsoft Teams để ẩn lưu lượng điều khiển mã độc
Các nhà nghiên cứu bảo mật phát hiện nhóm tội phạm DragonForce đang sử dụng Microsoft Teams để ngụy tạo lưu lượng điều khiển của phần mềm độc hại. Kỹ thuật này giúp mã độc Backdoor.Turn trốn tránh sự phát hiện trong nhiều tháng bằng cách hòa trộn vào lưu lượng hợp pháp của doanh nghiệp.
Tội phạm mạng dùng Microsoft Teams để ẩn lưu lượng điều khiển mã độc
Các nhà nghiên cứu bảo mật vừa phát hiện một kỹ thuật tấn công tinh vi mới, trong đó tội phạm mạng triển khai ransomware DragonForce đã sử dụng nền tảng Microsoft Teams để ẩn các hoạt động điều khiển từ xa. Bằng cách ngụy tạo lưu lượng giao tiếp của mã độc trông giống như hoạt động cộng tác thông thường của doanh nghiệp, kẻ tấn công đã có thể lẩn tránh sự phát hiện trong nhiều tháng.
Theo báo cáo từ công ty bảo mật Symantec, cuộc tấn công nhắm vào một công ty dịch vụ lớn của Mỹ. Sau khi xâm nhập thành công vào mạng lưới của nạn nhân, kẻ tấn công đã triển khai một phần mềm độc hại dạng cửa sau (backdoor) tùy chỉnh, được viết bằng ngôn ngữ Go và đặt tên là "Backdoor.Turn".
Ẩn mình trong luồng dữ liệu hợp pháp
Điểm đặc biệt của Backdoor.Turn là nó không kết nối trực tiếp đến các máy chủ do kẻ tấn công kiểm soát—một hành động thường dễ bị hệ thống an ninh phát hiện. Thay vào đó, phần mềm này ẩn hoạt động của nó bên trong lưu lượng truy cập liên quan đến Microsoft Teams, nền tảng cộng tác phổ biến của Microsoft.
Đối với bất kỳ ai đang giám sát lưu lượng mạng, các hệ thống bị xâm nhập dường như chỉ đang giao tiếp với các máy chủ hợp pháp của Microsoft, khiến việc phát hiện trở nên vô cùng khó khăn.
"Những kẻ tấn công trong chiến dịch này sử dụng các kỹ thuật mạng tinh vi đặc biệt," Symantec nhận định. "Cấu hình của Backdoor.Turn khiến các sản phẩm bảo mật chỉ nhìn thấy lưu lượng điều khiển (C&C) đi đến các máy chủ Teams hợp pháp, khiến các chuyên gia phòng thủ không biết rằng dữ liệu đang bị đánh cắp bởi các tác nhân độc hại."
Cơ chế hoạt động kỹ thuật
Để kết nối với cơ sở hạ tầng của Microsoft, cửa sau trước tiên sẽ yêu cầu một mã thông báo (token) khách truy cập ẩn danh từ các dịch vụ phụ trợ của Microsoft Teams và Skype. Sau đó, nó sử dụng máy chủ chuyển tiếp TURN do Microsoft vận hành—cơ sở hạ tầng thường được dùng để giúp thiết lập kết nối giữa người dùng—trước khi thiết lập kết nối trực tiếp QUIC đến một máy chủ điều khiển và chỉ huy độc hại.
Symantec cho biết đây là trường hợp đầu tiên được biết đến trong đó phần mềm độc hại sử dụng kỹ thuật cụ thể này. Mặc dù công ty bảo mật không tiết lộ danh tính cụ thể của nạn nhân, nhưng họ xác định đây là một công ty dịch vụ lớn tại Mỹ.
Bối cảnh và xu hướng an ninh
Nhóm ransomware DragonForce đã trở nên nổi bật hơn trong năm qua, hoạt động theo mô hình ransomware-as-a-service (RaaS), cho phép các đối tác tiến hành các cuộc tấn công dưới cái tên DragonForce. Nhóm này có liên quan đến Scattered Spider, một băng nhóm tội phạm mạng đã thực hiện hàng loạt cuộc tấn công nhắm vào các nhà bán lẻ lớn tại Anh.
Trong khi tội phạm mạng đã lạm dụng các dịch vụ đám mây hợp pháp để che giấu lưu lượng độc hại từ lâu, phát hiện mới nhất của Symantec cho thấy các nhà điều hành DragonForce liên tục tìm kiếm những cách thức mới để hòa trộn vào phần mềm và cơ sở hạ tầng mà các tổ chức tin tưởng nhất.